Configurar el intercambio de claves de Internet para el IPSec

Anuncio
Configurar el intercambio de claves de Internet para el IPSec VPN
Descargue este capítulo
Configurar el intercambio de claves de Internet para el IPSec VPN
Descargue el libro completo
Guía de configuración de la Seguridad de Cisco IOS: Conectividad segura, versión 12.2SR (PDF - 5 MB)
Feedback
Contenidos
Configurar el intercambio de claves de Internet para el IPSec VPN
Encontrar la información de la característica
Contenido
Prerrequisitos de la Configuración de IKE
Restricciones de la Configuración de IKE
Información sobre configurar el IKE para el IPSec VPN
Estándares Soportados para su Uso con IKE
Ventajas IKE
Modo Principal y Modo Dinámico de IKE
Políticas IKE: Parámetros de Seguridad para la Negociación IKE
Sobre las políticas IKE
Pares IKE que convienen en una política IKE que corresponde con
Autenticación IKE
Firmas RSA.
Nonces encriptados RSA
Claves del preshared
Configuración de modo IKE
Cómo configurar el IKE para el IPSec VPN
Crear las políticas IKE
Restricciones
Ejemplos
Consejos de Troubleshooting
Pasos Siguientes
Configurar la autenticación IKE
Prerrequisitos
Configuración de las Llaves RSA Manualmente para los Nonces Encriptados de RSA
Configuración de Llaves Previamente Compartidas
Configuración del Modo de Configuración de IKE
Restricciones
Configurar una correspondencia de criptografía IKE para la negociación IPSec SA
Ejemplos de Configuración de una Configuración de IKE
Creación de Políticas IKE: Ejemplos
Creación de Políticas IKE 3DES: Ejemplo:
Creación de una Política IKE AES: Ejemplo:
Configuración de la Autenticación IKE: Ejemplo:
Adonde ir después
Referencias adicionales
Documentos Relacionados
Estándares
MIB
RFC
Asistencia Técnica
Información de la característica para configurar el IKE para el IPSec VPN
Configurar el intercambio de claves de Internet para el IPSec VPN
Primera publicación: 2 de mayo de 2005
Última actualización: De marzo el 22 de 2011
Este módulo describe cómo configurar el protocolo del Internet Key Exchange (IKE) para el Redes privadas virtuales (VPN)
básico de la seguridad IP (IPSec). El IKE es un estándar del Key Management Protocol que se utiliza conjuntamente con el
estándar del IPSec. El IPSec es una característica de la seguridad IP que proporciona la autenticación y el cifrado robustos de
los paquetes IP.
El IPSec se puede configurar sin el IKE, pero el IKE aumenta el IPSec proporcionando a las características adicionales, a la
flexibilidad, y a la facilidad de la configuración para el estándar del IPSec.
El IKE es un protocolo híbrido, ése implementa el intercambio de claves del Oakley y el intercambio de claves de Skeme dentro
del marco del protocolo internet security association key management (ISAKMP). (el ISAKMP, el Oakley, y Skeme son
protocolos de Seguridad implementados por el IKE.)
Encontrar la información de la característica
Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y
advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información
sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada
característica, vea “información de la característica para configurar el IKE para la sección del IPSec VPN”.
Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del
software de Cisco. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en Cisco.com no
se requiere.
Contenido
•
Prerrequisitos de la Configuración de IKE
•
Restricciones de la Configuración de IKE
•
Información sobre configurar el IKE para el IPSec VPN
•
Cómo configurar el IKE para el IPSec VPN
•
Ejemplos de Configuración de una Configuración de IKE
•
Adonde ir después
•
Referencias adicionales
Prerrequisitos de la Configuración de IKE
• Usted debe ser familiar con los conceptos y las tareas explicados en el módulo “Configurar directivo de seguridad para
los VPN con el IPSec.”
• Asegúrese de que su Listas de control de acceso (ACL) sea compatible con el IKE. Porque la negociación IKE utiliza el
User Datagram Protocol (UDP) en el puerto 500, sus ACL deben ser configurados para no bloquear el tráfico del puerto 500
UDP en las interfaces usadas por el IKE y el IPSec. Usted puede ser que necesite en algunos casos agregar una
declaración a sus ACL para permitir explícitamente el tráfico del puerto 500 UDP.
Restricciones de la Configuración de IKE
Las restricciones siguientes son aplicables al configurar la negociación IKE:
•
El router de iniciación no debe tener un certificado asociado al peer remoto.
• La clave del preshared debe estar por un nombre de dominio completo (FQDN) en ambos pares. (Para configurar la
clave del preshared, ingrese crypto isakmp key el comando.)
•
El Routers de comunicación debe tener una entrada de host FQDN para uno a en sus configuraciones.
• El Routers de comunicación debe ser configurado para autenticar por el nombre de host, no por la dirección IP; así,
usted debe utilizar crypto isakmp identity hostname el comando.
Información sobre configurar el IKE para el IPSec VPN
•
Estándares Soportados para su Uso con IKE
•
Ventajas IKE
•
Modo Principal y Modo Dinámico de IKE
•
Políticas IKE: Parámetros de Seguridad para la Negociación IKE
•
Autenticación IKE
•
Configuración de modo IKE
Estándares Soportados para su Uso con IKE
Cisco implementa los estándares siguientes:
• IPSec — IP Security Protocol. El IPSec es un marco de los estándares abiertos que proporciona la confidencialidad de
los datos, la integridad de los datos, y la autenticación de datos entre los peeres participantes. El IPSec proporciona estos
Servicios de seguridad en la capa IP; utiliza el IKE para manejar la negociación de los protocolos y de los algoritmos
basados en la política local y para generar el cifrado y las claves de autenticación que se utilizarán por el IPSec. IPsec
puede emplearse para proteger uno o varios flujos de datos entre un par de hosts, entre un par de gateways de seguridad, o
entre un gateway de seguridad y un host.
• ISAKMP — Protocolo internet security association and key management. Una estructura del protocolo que define los
formatos de carga, los mecánicos de implementar un Key Exchange Protocol, y la negociación de una asociación de
seguridad.
•
Oakley — Un Key Exchange Protocol que define cómo derivar el material de codificación autenticado.
• Skeme — Un Key Exchange Protocol que define cómo derivar el material de codificación autenticado, con el refresco
dominante rápido.
Las Tecnologías componentes implementadas para uso del IKE incluyen el siguiente:
• AES: Advanced Encryption Standard. Un algoritmo criptográfico que protege la información sensible sin clasificar. El AES
es aislamiento transforma para el IPSec y el IKE y se ha desarrollado para substituir el Data Encryption Standard (DES). El
AES está diseñado para ser más seguro que el DES: AES ofrece una llave más larga, y garantiza que el único enfoque
conocido para descifrar un mensaje es que el intruso pruebe cada llave posible. AES tiene una longitud de llave variable: el
algoritmo puede especificar una llave de 128 bits (el valor predeterminado), una llave de 192 bits o una llave de 256 bits.
• DES: Data Encryption Standard. Un algoritmo que se utiliza para cifrar datos de paquetes. El IKE implementa el 56-bit
DES-CBC con el estándar explícito IV. El Cipher Block Chaining (CBC) requiere un vector de inicialización (iv) comenzar el
cifrado. El IV se da explícitamente en el paquete IPsec.
El Cisco IOS Software también implementa el cifrado del DES triple (168-bit), dependiendo de las versiones de software
disponibles para una plataforma específica. Triple DES (3DES) es una potente forma de encripción que permite transmitir
información confidencial por redes no confiables. Permite a los clientes, determinado en la industria de las finanzas, para
utilizar la encripción de capa de red.
Observe las imágenes del Cisco IOS que tienen encripción fuerte (incluyendo, pero no sólo, la función de encripción
de datos 56-bit fija) están conforme a los controles de la exportación del gobierno de los Estados Unidos, y tienen
una distribución limitada. Las imágenes que deben ser instaladas fuera de los Estados Unidos requieren una
licencia de exportación. Los pedidos del cliente se pudieron negar o conforme al retardo debido a las
regulaciones de gobierno de los Estados Unidos. Póngase en contacto con su representante de ventas o su
distribuidor para obtener más información, o envíe un mensaje de correo electrónico a export@cisco.com.
• SEAL: Software Encryption Algorithm. Un algoritmo alternativo a DES, 3DES y AES basados en software. SELLE el
cifrado utiliza una clave de encripción del 160-bit y tiene un impacto más bajo al CPU cuando está comparado a otros
algoritmos basados en software.
• Diffie Hellman — Un protocolo del Cifrado de clave pública que permite que dos partidos establezcan un secreto
compartido sobre un canal de comunicaciones unsecure. Diffie Hellman se utiliza dentro del IKE para establecer las claves
de la sesión. Soporta el 768-bit (el valor por defecto), 1024-bit, 1536-bit, 2048-bit, 3072-bit, y 4096 grupos DH y la curva
elíptica DH (ECDH) del 256-bit, especifica el grupo del 384-bit ECDH, y al grupo 2048-bit DH/DSA.
• MD5 — Publicación de mensaje 5 variante (del Hash-Based Message Authentication Code (HMAC)). Un algoritmo de
troceo usado para autenticar los datos del paquete. HMAC es una variante que proporciona un nivel adicional de hashing.
• Familia SHA-2 y SHA-1 (variante HMAC) — Secure Hash Algorithm (SHA) 1 y 2. El SHA-1 y SHA-2 son algoritmos de
troceo usados para autenticar los datos del paquete y para verificar los mecanismos de verificación de la integridad para el
IKE Protocol. HMAC es una variante que proporciona un nivel adicional de hashing. La familia SHA-2 agrega el algoritmo de
troceo del algoritmo de troceo del bit del SHA-256 y del bit del SHA-384. Estas funciones son parte de los requisitos de la
habitación-B que comprenden de cuatro habitaciones de la interfaz de usuario de los algoritmos criptográficos para el uso
con el IKE y el IPSec que se describen en el RFC 4869. Cada habitación consiste en un algoritmo de encripción, un Digital
Signature Algorithm, un Algoritmo de acuerdo dominante, y un hash o un algoritmo condensado de mensaje. Vea Configurar
directivo de seguridad para los VPN con el módulo de función del IPSec para información más detallada sobre el soporte de
la habitación-B del Cisco IOS.
• Firmas RSA. y nonces encriptados RSA — El RSA es el sistema criptográfico del clave pública desarrollado por el Rivest
de Ron, el Shamir Adi, y Leonard Adleman. Las firmas RSA. proporcionan la no repudiación, y los nonces encriptados RSA
proporcionan la renegación. (Repudation y el nonrepudation tienen que hacer con el traceability.)
El IKE interopera con los Certificados X.509v3, que se utilizan con el IKE Protocol cuando la autenticación requiere los claves
públicas. Este Soporte de certificado permite que la red protegida escale proporcionando al equivalente de un indicador
luminoso LED amarillo de la placa muestra gravedad menor del ID digital a cada dispositivo. Cuando dos dispositivos se
preponen comunicar, intercambian los Certificados digitales para probar su identidad (así quitando la necesidad de intercambiar
manualmente los claves públicas por cada par o de especificar manualmente una clave compartida en cada par).
Ventajas IKE
El IKE negocia automáticamente a las asociaciones de seguridad IPSec (SA) y habilita las comunicaciones seguras del IPSec
sin el preconfiguration manual costoso. Específicamente, el IKE proporciona las siguientes ventajas:
• Elimina la necesidad de especificar manualmente todos los seguridad IPSec parámetros en las correspondencias de
criptografía en ambos pares.
•
Permite que usted especifique un curso de la vida para IPSec SA.
•
Permite que las claves de encripción cambien durante las sesiones del IPSec.
•
Permite que el IPSec proporcione los servicios antireplay.
•
Soporte del Certification Authority (CA) de los permisos para una implementación manejable, scalable del IPSec.
•
Permite la autenticación dinámica de los pares.
Modo Principal y Modo Dinámico de IKE
El IKE tiene dos fases de negociación dominante: la fase 1 de la fase 1 y de la fase 2. negocia a una asociación de seguridad
(una clave) entre dos pares IKE. La clave negociada en la fase 1 permite a los pares IKE para comunicar con seguridad en la
fase 2. Durante la negociación de la fase 2, el IKE establece las claves (asociaciones de seguridad) para otras aplicaciones,
tales como IPSec.
La negociación de la fase 1 puede ocurrir usando el modo principal o el modo agresivo. El modo principal intenta proteger toda
la información durante la negociación, significando que no hay información disponible para un atacante potencial. Cuando
utilizan al modo principal, las identidades de los dos pares IKE se ocultan. Aunque este modo de operación sea muy seguro, es
relativamente costoso en términos de tiempo requerido para completar la negociación. El modo agresivo tarda menos tiempo
para negociar las claves entre los pares; sin embargo, abandona algo de la Seguridad proporcionada por la negociación del
modo principal. Por ejemplo, las identidades de los dos partidos que intentan establecer a una asociación de seguridad se
exponen a un eavesdropper.
Los dos modos responden a diversos propósitos y tienen diversas fuerzas. El modo principal es más lento que el modo
agresivo, pero el modo principal es más seguro y más flexible porque puede ofrecer a un par IKE más ofertas de la Seguridad
que el modo agresivo. El modo agresivo es menos flexible y no como seguro, sino mucho más rápidamente.
En Cisco IOS Software, los dos modos no son configurables. La acción predeterminada para la autenticación IKE (RSA-SIG,
RSA-encr, o preshared) es iniciar al modo principal; sin embargo, en caso de que no haya información correspondiente para
iniciar la autenticación, y allí es una clave del preshared asociada al nombre de host del par, Cisco IOS Software puede iniciar al
modo agresivo. El Cisco IOS Software responderá en el modo agresivo a un par IKE que inicie al modo agresivo.
Políticas IKE: Parámetros de Seguridad para la Negociación IKE
Una política IKE define una combinación de parámetros de seguridad que se utilizarán durante la negociación IKE. Usted debe
crear una política IKE en cada par que participa en el intercambio IKE.
Si usted no configura ninguna políticas IKE, su router utilizará la política predeterminada, que se fija siempre a la prioridad más
baja y que contiene el valor predeterminado de cada parámetro.
Sobre las políticas IKE
Porque las negociaciones IKE deben ser protegidas, cada negociación IKE comienza por el acuerdo de ambos pares en una
política IKE (compartida) común. Esta directiva estado qué parámetros de seguridad serán utilizados para proteger las
negociaciones IKE y los mandatos subsiguientes cómo autentican a los pares.
Después de que los dos pares convengan en una directiva, los parámetros de seguridad de la directiva son identificados por un
SA establecido en cada par, y estos SA se aplican a todo el tráfico subsiguiente IKE durante la negociación.
Usted puede configurar las directivas múltiples, prioritarias en cada par — cada uno con una diversa combinación de Valores de
parámetro. Sin embargo, por lo menos una de estas directivas debe contener exactamente el mismo cifrado, hash,
autenticación, y Valores de parámetro de Diffie Hellman como una de las directivas en el peer remoto. Para cada directiva que
usted cree, usted asigna una prioridad única (1 a 10.000, con 1 siendo la prioridad más alta).
Incline si usted está interoperando con un dispositivo que soporte solamente uno de los valores para un parámetro, su opción
se limita al valor soportado por el otro dispositivo. Independientemente de esta limitación, hay a menudo un equilibrio entre
la Seguridad y el funcionamiento, y muchos de estos Valores de parámetro representan tal equilibrio. Usted debe
evaluar los riesgos del nivel de seguridad para su red y su tolerancia para estos riesgos.
Pares IKE que convienen en una política IKE que corresponde con
Cuando la negociación IKE comienza, el IKE busca para una política IKE que sea lo mismo en ambos pares. El par que inicia la
negociación enviará todas sus directivas al peer remoto, y al peer remoto intentará encontrar una coincidencia. El peer remoto
busca una coincidencia comparando su propia directiva más prioritaria contra las directivas recibidas del otro par. El peer
remoto marca cada uno de sus directivas en orden de su prioridad (prioridad más alta primero) hasta que se encuentre una
coincidencia.
Se hace una coincidencia cuando ambas directivas de los dos pares contienen el mismo cifrado, hash, autenticación, y Valores
de parámetro de Diffie Hellman, y cuando la directiva del peer remoto especifica un curso de la vida que sea inferior o igual el
curso de la vida en la directiva que es comparada. (Si los cursos de la vida no son idénticos, el curso de la vida más corto — de
la directiva del peer remoto — será utilizado.)
Si se encuentra una coincidencia, el IKE completará la negociación, y crearán a las asociaciones de seguridad IPSec. Si no se
encuentra ninguna coincidencia aceptable, el IKE rechaza la negociación y el IPSec no será establecido.
Observelos Valores de parámetro se aplican a las negociaciones IKE después de que se establezca IKE SA.
Observedependiendo de qué método de autentificación se especifica en una directiva, configuración adicional pudo ser
requerido (según lo descrito en la sección de la “autenticación IKE” de la sección). Si la directiva de un par no tiene la
configuración requerida del compañero, el par no someterá la directiva al intentar encontrar una directiva que corresponde con
con el peer remoto.
Autenticación IKE
La autenticación IKE consiste en las opciones siguientes y cada método de autentificación requiere la configuración adicional.
•
Firmas RSA.
•
Nonces encriptados RSA
•
Claves del preshared
Firmas RSA.
Con las firmas RSA., usted puede configurar a los pares para obtener los Certificados de un CA (CA se debe configurar
correctamente para publicar los Certificados.) Usando CA puede mejorar dramáticamente la manejabilidad y el scalability de su
red IPsec. Además, la autenticación basado en firmas RSA utiliza solamente dos operaciones del clave pública, mientras que la
encripción RSA utiliza cuatro operaciones del clave pública, haciéndola más costosa en términos de rendimiento general. Para
configurar correctamente el soporte de CA, vea las claves que despliegan del módulo “RSA dentro de un PKI.”
Los Certificados son utilizados por cada par para intercambiar los claves públicas con seguridad. (Las firmas RSA. requieren
que cada par tenga la clave pública de la firma del peer remoto.) Cuando ambos pares tienen certificados válidos,
intercambiarán automáticamente los claves públicas por uno a como parte de cualquier negociación IKE en la cual se utilicen
las firmas RSA.
Usted puede también intercambiar los claves públicas manualmente, según lo descrito en la sección “configurando las claves
RSA manualmente para los nonces encriptados RSA.”
Las firmas RSA. proporcionan la no repudiación para la negociación IKE. Y, usted puede probar a otro vendedor después de
que el hecho de que usted tenía de hecho una negociación IKE con el peer remoto.
Nonces encriptados RSA
Con los nonces encriptados RSA, usted debe asegurarse de que cada par tenga los claves públicas de los otros pares.
A diferencia de las firmas RSA., el método de los nonces encriptados RSA no puede utilizar los Certificados para intercambiar
los claves públicas. En lugar, usted se asegura de que cada par tenga el otro los claves públicas por uno de los métodos
siguientes:
• Manualmente configurando las claves RSA según lo descrito en la sección las “que configura claves RSA manualmente
para los nonces encriptados RSA.”
• Asegurándose de que un intercambio IKE usando las firmas RSA. con los Certificados haya ocurrido ya entre los pares.
(Los claves públicas de los pares se intercambian durante las negociaciones IKE basado en firmas de RSA si se utilizan los
Certificados.) Para hacer que sucede el intercambio IKE, especifique dos directivas: una directiva más prioritaria con los
nonces encriptados RSA y una directiva de la prioridad baja con las firmas RSA. Cuando ocurren las negociaciones IKE, las
firmas RSA. serán utilizadas la primera vez porque los pares todavía no tienen claves públicas de cada uno. Entonces las
negociaciones IKE futuras pueden utilizar los nonces encriptados RSA porque los claves públicas habrán sido
intercambiados.
Observe esta alternativa requiere que usted hace ya el soporte de CA configurar.
Los nonces encriptados RSA proporcionan la renegación para la negociación IKE; sin embargo, a diferencia de las firmas RSA.,
usted no puede probar a otro vendedor que usted tenía una negociación IKE con el peer remoto.
Claves del preshared
•
Claves del preshared: Una descripción
•
Configuración de la identidad ISAKMP para las claves del preshared
•
Claves del preshared de la máscara
•
Xauth de la neutralización en un peer IPSec específico
Claves del preshared: Una descripción
Las claves del preshared son torpes utilizar si su red segura es grande, y no escalan bien con una red cada vez mayor. Sin
embargo, no requieren el uso de CA, al igual que las firmas RSA., y puede ser que sean más fáciles de configurar en una
pequeña red con menos que los diez nodos. Las firmas RSA. también se pueden considerar más seguras en comparación con
la clave de autentificación del preshared.
Observesi encripción RSA se configura y modo se negocia de la firma (y los Certificados se utilizan para el modo de la firma), el
par pedirá la firma y las claves de encripción. Básicamente, el router pedirá tantas claves pues la configuración soportará.
Si la encripción RSA no se configura, apenas pedirá una clave de la firma.
Configuración de la identidad ISAKMP para las claves del preshared
Usted debe fijar la identidad ISAKMP para cada par que utilice las claves del preshared en una política IKE.
Cuando dos pares utilizan el IKE para establecer el SA de IPSec, cada par envía su identidad al peer remoto. Cada par envía su
nombre de host o su dirección IP, dependiendo de cómo usted ha fijado la identidad ISAKMP del router.
Por abandono, la identidad ISAKMP de un par es la dirección IP del par. Si es apropiado, usted podría cambiar la identidad para
ser el nombre de host del par en lugar de otro. Como regla general, fije las identidades de todos los pares la misma manera — o
todos los pares deben utilizar sus IP Addresses o todos los pares deben utilizar sus nombres de host. Si algunos pares utilizan
sus nombres de host y algunos pares utilizan sus IP Addresses para identificarse el uno al otro, las negociaciones IKE podrían
fallar si la identidad de un peer remoto no se reconoce y una búsqueda del Sistema de nombres de dominio (DNS) no puede
resolver la identidad.
Claves del preshared de la máscara
Una clave del preshared de la máscara permite que un grupo de usuarios remotos con el mismo nivel de autenticación
comparta una clave del preshared IKE. La clave del preshared del peer remoto debe hacer juego la clave del preshared del peer
local para que la autenticación IKE ocurra.
Una clave del preshared de la máscara se distribuye generalmente a través de un canal fuera de banda seguro. En un
escenario par-a-local remoto del par, cualquier peer remoto con la clave del preshared IKE configurada puede establecer IKE
SA con el peer local.
Si usted especifica mask la palabra clave con crypto isakmp key el comando, incumbe hasta usted para utilizar a una
dirección de subred, que permitirá que más pares compartan la misma clave. Es decir, la clave del preshared se restringe no
más para utilizar entre dos usuarios.
Observeusando 0.0.0.0 pues no recomiendan una dirección de subred porque anima las claves del preshared del grupo, que
permiten que todos los pares tengan la misma clave del grupo, de tal modo reduciendo la Seguridad de su autenticación de
usuario.
Inhabilite el Xauth en un peer IPSec específico
Inhabilitar el Autenticación ampliada (Xauth) para los peeres IPSecs estáticos evita que indiquen al Routers para la información
del Xauth — nombre de usuario y contraseña.
Sin la capacidad de inhabilitar el Xauth, un usuario no puede seleccionar qué par en la misma correspondencia de criptografía
debe utilizar el Xauth. Es decir, si un usuario tiene IPSEC de router a router en la misma correspondencia de criptografía que un
IPSec VPN-cliente-a-Cisco-IOS, indican a ambos pares para un nombre de usuario y contraseña. Además, un peer estático
remoto (router del Cisco IOS) no puede establecer IKE SA con el router IOS del Cisco local. (Se borra el Xauth no es un
intercambio opcional, así que si un par no responde a una petición del Xauth, IKE SA.) Así, la misma interfaz no se puede
utilizar para terminar el IPSec a los clientes VPN (ese Xauth de la necesidad) y al otro Routers del Cisco IOS (que no puede
responder al Xauth) a menos que se implemente esta característica.
El Xauthde la nota puede ser inhabilitado solamente si las claves del preshared se utilizan como el mecanismo de autenticación
para la correspondencia de criptografía dada.
Configuración de modo IKE
La configuración de modo IKE, según lo definido por la Fuerza de tareas de ingeniería en Internet (IETF) (IETF), permite que un
gateway descargue la dirección IP (y la otra configuración del nivel de red) al cliente como parte de una negociación IKE.
Usando este intercambio, el gateway da una dirección IP al cliente IKE que se utilizará como dirección IP “interna” encapsulada
bajo el IPSec. Este método proporciona una dirección IP sabida para el cliente que puede ser correspondido con contra la
directiva del IPSec.
Para implementar el IPSec VPN entre los clientes de acceso remoto que tienen los IP Address dinámicos y un gateway
corporativo, usted tiene que administrar dinámicamente la directiva scalable del IPSec en el gateway una vez que autentican a
cada cliente. Con la configuración de modo IKE, el gateway puede configurar una directiva scalable para un conjunto muy
grande de los clientes sin importar los IP Addresses de esos clientes.
Hay dos tipos de configuración de modo IKE:
• Lanzamiento del gateway — El gateway inicia al modo de configuración con el cliente. Una vez que responde el cliente,
el IKE modifica la identidad del remitente, se procesa el mensaje, y el cliente recibe una respuesta.
• Lanzamiento del cliente — El cliente inicia al modo de configuración con el gateway. El gateway responde con una
dirección IP que ha afectado un aparato para el cliente.
Cómo configurar el IKE para el IPSec VPN
Si usted no quisiera que el IKE fuera utilizado con su implementación del IPSec, usted puede inhabilitarla en todos los peeres
IPSecs vía no crypto isakmp el comando, salta el resto de este capítulo, y comienza su IPSec VPN.
Observesi usted inhabilitan el IKE, usted tiene que manualmente especificar todo el SA de IPSec en las correspondencias de
criptografía en todos los pares, el SA de IPSec de los pares nunca mide el tiempo hacia fuera para dado sesión IPSec, las
claves de encripción nunca cambia durante las sesiones del IPSec entre los pares, los servicios de la anti-respuesta no estarán
disponibles entre los pares, y el soporte del Public Key Infrastructure (PKI) no puede ser utilizado.
El IKE se habilita por abandono. El IKE no tiene que ser habilitado para las interfaces individuales, sino que se habilita global
para todas las interfaces en el router.
Realice las tareas siguientes de proporcionar la autenticación de los peeres IPSecs, negocie el SA de IPSec, y establezca las
claves del IPSec:
•
Creando las políticas IKE (requeridas)
•
Configurando la autenticación IKE (requerida)
•
Configuración del Modo de Configuración de IKE
•
Configurar una correspondencia de criptografía IKE para la negociación IPSec SA
Crear las políticas IKE
Realice esta tarea de crear una política IKE.
Restricciones
Si usted está configurando una política IKE AES, observe las restricciones siguientes:
•
Su router debe soportar el IPSec y las claves largas (el subsistema del "k9").
• El AES no puede cifrar el IPSec y el tráfico IKE si un indicador luminoso LED amarillo de la placa muestra gravedad
menor de la aceleración está presente.
PASOS SUMARIOS
1. enable
2. configure terminal
3. crypto isakmp policy priority
4. encryption {des | 3des | aes | aes 192 | aes 256}
5. hash {sha | sha256 | sha384 | md5}
6. authentication {rsa-sig | rsa-encr | pre-share}
7. group {1 | 2 | 5 | 14 | 15 | 16 | 19 | 20}
8. lifetime seconds
9. exit
10. exit
11. show crypto isakmp policy
12. Relance estos pasos para cada directiva que usted quiera crear.
PASOS DETALLADOS
Paso 1
Comando o acción
Propósito
enable
Habilita el modo EXEC privilegiado.
Example:
Router> enable
Paso 2
configure terminal
• Ingrese su contraseña si se le pide que lo
haga.
Ingresa en el modo de configuración global.
Example:
Router# configure
terminal
Paso 3
crypto isakmp policy
priority
Example:
Router(config)# crypto
isakmp policy 10
Paso 4
Define una política IKE y ingresa al modo de
configuración config-ISAKMP.
• priority — Identifica únicamente la política
IKE y asigna una prioridad a la directiva.
Valores válidos: 1 a 10.000; 1 es la prioridad
más alta.
encryption {des | 3des | Especifica el algoritmo de encripción.
aes | aes 192 | aes 256}
Example:
Router(config-isakmp)#
encryption aes 256
• Por abandono, des se utiliza la palabra
clave.
des– — 56-bit DES-CBC
3des– — 168-bit DES
aes– — 128-bit AES
aes 192– — 192-bit AES
aes 256– — 256-bit AES
Paso 5
hash {sha | sha256 |
sha384 | md5}
Example:
Router(config-isakmp)#
hash sha
Especifica el algoritmo de troceo.
•
Por abandono, se utiliza el SHA-1sha ().
•
sha256La palabra clave especifica el 256bit de la familia SHA-2 (variante HMAC) como el
algoritmo de troceo.
•
sha384 La palabra clave especifica el 384bit de la familia SHA-2 (variante HMAC) como el
algoritmo de troceo.
•
md5 La palabra clave especifica MD5
(variante HMAC) como el algoritmo de troceo.
La notaMD5 tiene una publicación más
pequeña y se considera para ser levemente
más rápida que el SHA-1.
Paso 6
authentication {rsa-sig
| rsa-encr | pre-share
}
Especifica el método de autentificación.
•
Por abandono, se utilizan las firmas RSA.
rsa-sig– — Las firmas RSA. requieren
que usted configure a su Routers del par
para obtener los Certificados de CA.
Example:
Router(config-isakmp)#
authentication preshare
rsa-encr– — Los nonces encriptados
RSA requieren que usted se asegure que
cada par tenga los claves públicas RSA del
otro par.
pre-share– — Las claves del preshared
requieren que usted configure por separado
estas claves del preshared.
Paso 7
group {1 | 2 | 5 | 14 |
15 | 16 | 19 | 20 | 24
}
Example:
Router(configisakmp)# group 1
Especifica el identificador del grupo del DiffieHellman (DH).
•
Por abandono, se utiliza el group1 DH.
1– — 768-bit DH
2– — 1024-bit DH
5– — 1536-bit DH
14– — Especifica al grupo 2048-bit DH.
15– — Especifica al grupo 3072-bit DH.
16– — Especifica al grupo 4096-bit DH.
19– — Especifica el grupo elíptico de la
curva DH (ECDH) del 256-bit.
20– — Especifica al grupo del 384-bit
ECDH.
24– — Especifica al grupo 2048-bit
DH/DSA.
El grupo elegido debe ser bastante fuerte (tenga
bastantes bits) proteger las claves del IPSec
durante la negociación. Una guía de consulta
generalmente aceptada recomienda el uso de un
grupo 2048-bit después de 2013 (hasta 2030). El
grupo 14 o el grupo 24 se puede seleccionar
resolver esta guía de consulta. Incluso si un método
de seguridad largo-vivo es necesario, el uso de la
criptografía elíptica de la curva se recomienda, pero
agrupa 15 y el grupo 16 puede también ser
considerado.
El grupo ISAKMP y el grupo del Confidencialidad
directa perfecta (PFS) del IPSec deben ser lo
mismo si se utiliza el PFS. Si el PFS no se utiliza,
no configuran a un grupo en la correspondencia de
criptografía del IPSec.
Paso 8
lifetime seconds
Example:
Router(configisakmp)# lifetime 180
Especifica el curso de la vida IKE SA.
• seconds — Mida el tiempo, en los segundos,
antes de que expire cada SA. Valores válidos:
60 a 86.400; valor predeterminado: 86.400.
Observecuanto más corto es el curso de la
vida (hasta una punta), más seguras sus
negociaciones IKE serán. Sin embargo, con
cursos de la vida más largos, el SA de
IPSec futuro se puede configurar más
rápidamente.
Paso 9
exit
Da salida al modo de configuración config-ISAKMP.
Example:
Router(configisakmp)# exit
Paso 10 exit
Sale del modo de configuración global.
Example:
Router(config)# exit
Paso 11 show crypto isakmp
policy
(Opcional) visualiza todas las políticas IKE
existentes.
Example:
Router# show crypto
isakmp policy
Paso 12 Relance estos pasos para
cada directiva que usted
quiere crear.
—
Ejemplos
La salida de muestra siguiente show crypto isakmp policy del comando visualiza un mensaje de advertencia después de que
un usuario intente configurar un método de encripción IKE que el hardware no soporte:
Router# show crypto isakmp policy
Protection suite of priority 1
encryption algorithm:
AES - Advanced Encryption Standard (256 bit keys).
WARNING:encryption hardware does not support the configured
encryption method for ISAKMP policy 1
hash algorithm:
Secure Hash Standard
authentication method: Pre-Shared Key
Diffie-Hellman group:
#1 (768 bit)
lifetime:
3600 seconds, no volume limit
Consejos de Troubleshooting
•
Borre (y reinicialice) el SA de IPSec usando clear crypto sa el comando exec.
Usando clear crypto sa el comando sin los parámetros vaciará la base de datos completa SA, que vaciará las sesiones de
la seguridad activa. Usted puede también especificar peer map, o entry las palabras claves para vaciar solamente un
subconjunto de la base de datos SA. Para más información, vea clear crypto sa el comando en la referencia de comandos
de la Seguridad de Cisco IOS.
• La política predeterminada y los valores predeterminados para las directivas configuradas no aparecen en la
configuración cuando usted publica show running-config el comando. Para visualizar la política predeterminada y cualquier
valor predeterminado dentro de las directivas configuradas, utilice show crypto isakmp policy el comando.
• Cualquier IPSec transforma o los métodos de encripción IKE que el hardware actual no soporta deben ser inhabilitados;
se ignoran siempre que se haga una tentativa de negociar con el par.
Si un usuario ingresa un IPSec transforme o un método de encripción IKE que el hardware no soporta, un mensaje de
advertencia será generado. Estos mensajes de advertencia también se generan en el tiempo del inicio. Cuando se inserta
un indicador luminoso LED amarillo de la placa muestra gravedad menor cifrado, se analiza la configuración actual. Si
cualquier IPSec transforma o se encuentran los métodos de encripción IKE que no son soportados por el hardware, un
mensaje de advertencia será generado.
Pasos Siguientes
Dependiendo de qué método de autentificación usted especificó en sus políticas IKE (firmas RSA., nonces encriptados RSA, o
las claves del preshared), usted debe hacer ciertas tareas de configuración adicionales antes de que el IKE y el IPSec puedan
utilizar con éxito las políticas IKE. Para la información sobre completar estas tareas adicionales, refiera a “configurar la
autenticación IKE” sección.”
Para configurar un basado en AES transforme el conjunto, ven el módulo “Configurar directivo de seguridad para los VPN con el
IPSec.”
Configurar la autenticación IKE
Después de que usted haya creado por lo menos una política IKE en la cual usted especificó un método de autentificación (o
validado el método predeterminado), usted necesita configurar un método de autentificación. Las políticas IKE no se pueden
utilizar por el IPSec hasta que el método de autentificación se configure con éxito.
Para configurar la autenticación IKE, usted debe realizar una de las tareas siguientes, como apropiado:
•
Configuración de las Llaves RSA Manualmente para los Nonces Encriptados de RSA
•
Configuración de Llaves Previamente Compartidas
Prerrequisitos
Usted debe haber configurado por lo menos una política IKE, que es donde el método de autentificación fue especificado (o las
firmas RSA. fueron validadas por abandono).
Configuración de las Llaves RSA Manualmente para los Nonces Encriptados de RSA
Observeesta tarea puede ser realizado solamente si CA es parado.
Para configurar manualmente las claves RSA, realice esta tarea para cada peer IPSec que utilice los nonces encriptados RSA
en una política IKE.
PASOS SUMARIOS
1. enable
2. configure terminal
3. crypto key generate rsa {general-keys | usage-keys} []label key-labeldel []exportabledel []modulus modulus-size
4. crypto key generate ec keysize [256 | 384] []label label-string
5. exit
6. show crypto key mypubkey rsa
7. configure terminal
8. crypto key pubkey-chain rsa
9. named-key key-name [encryption | signature]
o
addressed-key key-address [encryption | signature]
10. address ip-address
11. key-string key-string
12. quit
13. Repita estos pasos en cada peer que utilice los nonces encriptados RSA en una política IKE.
14. exit
15. exit
16. show crypto key pubkey-chain rsa [name key-name | address key-address]
PASOS DETALLADOS
Paso 1
Comando o acción
Propósito
enable
Habilita el modo EXEC privilegiado.
Example:
Router> enable
Paso 2
configure terminal
Example:
Router# configure terminal
Paso 3
Ingresa en el modo de configuración
global.
crypto key generate rsa {general- Genera las claves RSA.
keys | usage-keys} [label key• Si key-label un argumento no se
label] [exportable] [modulus
especifica, se utiliza el valor
modulus-size]
Example:
Router(config)# crypto key
generate rsa general-keys modulus
360
Paso 4
• Ingrese su contraseña si se le
pide que lo haga.
crypto key generate ec keysize [
256 | 384] [label label-string]
Example:
Router(config)# crypto key
generate ec keysize 256 label
Router_1_Key
predeterminado, que es el nombre
de dominio completo (FQDN) del
router.
Genera las claves EC.
• La palabra clave 256 especifica
un 256-bit keysize.
• Los 384 que la palabra clave
especifica un 384-bit keysize.
• Una escritura de la etiqueta se
puede especificar para la clave EC
usando label la palabra clave y
label-string el argumento.
Observesi una escritura de la
etiqueta no se especifica,
después se utiliza el valor
FQDN.
Paso 5
exit
Example:
Router(config)# exit
Paso 6
show crypto key mypubkey rsa
Example:
Router# show crypto key mypubkey
rsa
Paso 7
configure terminal
Example:
Router# configure terminal
Paso 8
crypto key pubkey-chain rsa
Example:
Router(config)# crypto key
pubkey-chain rsa
Paso 9
named-key key-name [encryption |
signature]
Example:
Router(config-pubkeychain)# named-key
otherpeer.example.com
o
addressed-key key-address
[encryption | signature]
Example:
Router(config-pubkeychain)# addressed-key 10.1.1.2
encryption
Paso 10 address ip-address
Example:
Router(config-pubkeykey)# address 10.5.5.1
Paso 11 key-string key-string
Example:
Router(config-pubkey-key)# key-string
Router(config-pubkey)# 00302017 4A7D385B
1234EF29 335FC973
Router(config-pubkey)# 2DD50A37 C4F4B0FD
9DADE748 429618D5
(Opcional) Sale del modo de
configuración global.
(Opcional) visualiza los claves públicas
generados RSA.
Vuelve al modo de configuración
global.
Ingresa el modo de configuración del
encadenamiento de clave pública (así
que le puede especificar manualmente
los claves públicas RSA de los otros
dispositivos).
Indica especificará el clave pública
RSA de qué peer remoto usted y
ingresa al modo de configuración del
clave pública.
• Si el peer remoto utiliza su
nombre de host como su identidad
ISAKMP, utilice named-key el
comando y especifique el FQDN del
peer remoto, tal como
somerouter.example.com, como
key-name.
• Si el peer remoto utiliza su
dirección IP como su identidad
ISAKMP, utilice addressed-key el
comando y especifique la dirección
IP del peer remoto como keyaddress.
Especifica la dirección IP del peer
remoto.
• Si usted utiliza named-key el
comando, usted necesita utilizar
este comando de especificar la
dirección IP del par.
Especifica el clave pública RSA del
peer remoto.
• (Esta clave fue vista
previamente por el administrador
del peer remoto cuando las claves
RSA del router remoto fueron
generadas.)
Router(config-pubkey)# 18242BA3 2EDFBDD3
4296142A DDF7D3D8
Router(config-pubkey)# 08407685 2F2190A0
0B43F1BD 9A8A26DB
Router(config-pubkey)# 07953829 791FCDE9
A98420F0 6A82045B
Router(config-pubkey)# 90288A26 DBC64468
7789F76E EE21
Paso 12 quit
Example:
Router(config-pubkey-key)# quit
Devoluciones al modo de configuración
del encadenamiento de clave pública.
Paso 13 —
Repita estos pasos en cada peer que
utilice los nonces encriptados RSA en
una política IKE.
Paso 14 exit
Vuelve al modo de configuración
Example:
Router(config-pubkey-key)# exit
Paso 15 exit
global.
Vuelve al modo EXEC privilegiado.
Example:
Router(config)# exit
Paso 16 show crypto key pubkey-chain rsa
[name key-name | address keyaddress]
Example:
Router# show crypto key pubkeychain rsa
(Opcional) visualiza cualquier una lista
de todos los claves públicas RSA que
se salven en su router o detalles de
una clave determinada RSA que se
salve en su router.
Configuración de Llaves Previamente Compartidas
Para configurar las claves del preshared, realice estos pasos para cada par que utilice las claves del preshared en una política
IKE.
Restricciones
•
Las claves del preshared no escalan bien con una red cada vez mayor.
•
Las claves del preshared de la máscara tienen las restricciones siguientes:
– El SA no se puede establecer entre los peeres IPSecs hasta que configuren a todos los peeres IPSecs para la
misma clave del preshared.
– La clave del preshared de la máscara debe ser distintamente diferente para los usuarios remotos que requieren los
niveles variables de autorización. Usted debe configurar una nueva clave del preshared para cada nivel de confianza y
asignar las claves correctas a los partidos correctos. Si no, un partido untrusted puede obtener el acceso a los datos
protegidos.
PASOS SUMARIOS
1. enable
2. configure terminal
3. crypto isakmp identity {address | dn | hostname}
4. ip host hostname address1 []address2...address8
5. crypto isakmp key keystring address peer-address []maskdel []no-xauth
o
crypto isakmp key keystring hostname hostname []no-xauth
6. crypto isakmp key keystring address peer-address []maskdel []no-xauth
o
crypto isakmp key keystring hostname hostname []no-xauth
7. Relance estos pasos para cada par que utilice las claves del preshared.
PASOS DETALLADOS
Comando o acción
Propósito
Paso enable
1
Habilita el modo EXEC privilegiado.
Paso configure terminal
2
Ingresa en el modo de configuración global.
Paso crypto isakmp identity {
address | dn | hostname}
3
Especifica la identidad ISAKMP del par por la
dirección IP, por el nombre de host del Nombre
distintivo (DN) en el peer local.
Example:
Router> enable
• Ingrese su contraseña si se le pide que lo
haga.
Example:
Router# configure terminal
Example:
Router(config)# crypto
isakmp identity address
• address — Utilizado típicamente cuando
solamente una interfaz (y por lo tanto
solamente una dirección IP) serán utilizadas
por el par para las negociaciones IKE, y se
sabe la dirección IP.
• dn — Utilizado típicamente si se va el DN
de un certificado del router a ser especificado y
a ser elegido como la identidad ISAKMP
durante el proceso IKE. La palabra clave dn se
utiliza solamente para la autenticación basada
en el certificado.
• hostname — Debe ser utilizado si más de
una interfaz en el par se pudo utilizar para las
negociaciones IKE, o si la dirección IP de la
interfaz es desconocida (por ejemplo con
dinámicamente los IP Address asignados).
Paso ip host hostname address1 [ Si la identidad ISAKMP del peer local fue
address2...address8]
4
especificada usando un nombre de host, asocia el
nombre del host del par a su dirección IP en todos
Example:
los peeres remotos.
Router(config)# ip host
RemoteRouter.example.com
192.168.0.1
(Este paso pudo ser innecesario si el nombre de
host o el direccionamiento se asocia ya en un
servidor DNS.)
Paso crypto isakmp key keystring Especifica en el peer local la clave compartida que
address peer-address [mask se utilizará con un peer remoto determinado.
5
] [no-xauth]
• Si el peer remoto especificó su identidad
ISAKMP con un direccionamiento, utilice
address la palabra clave en este paso; si no
utilice hostname la palabra clave en este
paso.
Example:
Router(config)# crypto
isakmp key sharedkeystring
address 192.168.1.33 noxauth
no-xauth—– Evita que el router indique
al par para la información del Xauth.
Utilice esta palabra clave si el IPSEC de
router a router está en la misma
correspondencia de criptografía que el
IPSec IOS de VPN-cliente-a-Cisco.
o
Observesegún el diseño de la clave de
autentificación del preshared en el modo
principal IKE, las claves del preshared debe
ser basado en la dirección IP de los pares.
Aunque usted pueda enviar un nombre
de host como la identidad de una clave
de autentificación del preshared, la clave
se busca en la dirección IP del par; si la
clave no se encuentra que (basado en la
dirección IP) la negociación fallará.
crypto isakmp key keystring
hostname hostname [noxauth]
Example:
Router(config) crypto
isakmp key sharedkeystring
hostname
RemoteRouter.example.com
Paso crypto isakmp key keystring Especifica en el peer remoto la clave compartida
address peer-address [mask que se utilizará con el peer local.
6
] [no-xauth]
• Ésta es la misma clave que usted acaba de
especificar en el peer local.
Example:
Router(config) crypto
isakmp key sharedkeystring
address 10.0.0.1
• Si el peer local especificó su identidad
ISAKMP con un direccionamiento, utilice
address la palabra clave en este paso; si no
utilice hostname la palabra clave en este
paso.
o
crypto isakmp key keystring
hostname hostname [noxauth]
Example:
Router(config) crypto
isakmp key sharedkeystring
hostname
LocalRouter.example.com
Paso Repeat these steps at each
peer that uses preshared
7
—
keys in an IKE policy.
Configuración del Modo de Configuración de IKE
Restricciones
La configuración de modo IKE tiene las restricciones siguientes:
• Las interfaces con las correspondencias de criptografía que se configuran para la configuración de modo IKE pueden
experimentar una época de configuración de conexión levemente más larga, que es verdad incluso para los pares IKE que
rechazan ser configurados o no responden a la petición del modo de configuración. En ambos casos, el gateway inicia la
configuración del cliente.
• Esta característica no fue diseñada para habilitar al modo de configuración para cada conexión IKE por abandono.
Configure esta característica en el nivel global de la correspondencia de criptografía.
PASOS SUMARIOS
1. enable
2. configure terminal
3. ip local pool pool-name start-addr end-addr
4. crypto isakmp client configuration address-pool local pool-name
5. crypto map tag client configuration address [initiate | respond]
PASOS DETALLADOS
Comando o acción
Propósito
Paso enable
1
Habilita el modo EXEC privilegiado.
• Ingrese su contraseña si se le
pide que lo haga.
Example:
Router> enable
Paso configure terminal
2
Ingresa en el modo de configuración
global.
Paso ip local pool pool-name start-addr
end-addr
3
Define un pool existente de la dirección
local que define un conjunto de los
direccionamientos.
Example:
Router# configure terminal
Example:
Router(config)# ip local pool pool1
172.16.23.0 172.16.23.255
Paso crypto isakmp client configuration
address-pool local pool-name
4
Se refiere al pool de la dirección local a
la configuración IKE.
Example:
Router(config)# crypto isakmp client
configuration address-pool local
pool1
Paso crypto map tag client configuration
address [initiate | respond]
5
Example:
Router(config)# crypto map dyn
client configuration address
initiate
Configuración de modo de las
configuraciones IKE en el modo de
configuración global.
Configurar una correspondencia de criptografía IKE para la negociación IPSec SA
PASOS SUMARIOS
1. enable
2. configure terminal
3. crypto map tag sequence ipsec-isakmp
4. set pfs {group1 | group2 | group5 | group14 | group15 | group16 | group19 | group20}
PASOS DETALLADOS
Comando o acción
Propósito
Paso enable
1
Habilita el modo EXEC privilegiado.
Paso configure terminal
2
Ingresa en el modo de configuración global.
Paso crypto map tag sequence
ipsec-isakmp
3
Especifica la correspondencia de criptografía y
ingresa al modo de configuración de la
correspondencia de criptografía.
Example:
Router> enable
• Ingrese su contraseña si se le pide que lo
haga.
Example:
Router# configure
terminal
Example:
Router(config)# crypto
map example 1 ipsec-
•
tag El argumento especifica la
correspondencia de criptografía.
ipsec-isakmp
•
sequence El argumento especifica la
secuencia para insertar en la entrada de
correspondencia de criptografía.
•
ipsec-isakmp La palabra clave especifica el
IPSec con IKEv1 (ISAKMP).
Paso set pfs {group1 | group2
| group5 | group14 |
4
group15 | group16}
Especifica el identificador del grupo DH para la
negociación IPSec SA.
•
Example:
Router(configisakmp)# set pfs 14
Por abandono, se utiliza el group1 DH.
group1– — 768-bit DH
group2– — 1024-bit DH
group5– — 1536-bit DH
group14– — Especifica al grupo 2048-bit
DH.
group15– — Especifica al grupo 3072-bit
DH.
group16– — Especifica al grupo 4096-bit
DH.
El grupo elegido debe ser bastante fuerte (tenga
bastantes bits) proteger las claves del IPSec durante
la negociación. Una guía de consulta generalmente
aceptada recomienda el uso de un grupo 2048-bit
después de 2013 (hasta 2030). Cualquier grupo 14 se
puede seleccionar resolver esta guía de consulta.
Incluso si un método de seguridad largo-vivo es
necesario, el uso de la criptografía elíptica de la curva
se recomienda, pero agrupa 15 y el grupo 16 puede
también ser considerado.
Ejemplos de Configuración de una Configuración de IKE
Esta sección contiene los ejemplos de configuración siguientes:
•
Creación de Políticas IKE: Ejemplos
•
Configuración de la Autenticación IKE: Ejemplo:
Creación de Políticas IKE: Ejemplos
Esta sección contiene los siguientes ejemplos, que muestran cómo configurar una política IKE 3DES y una política IKE AES:
•
Creación de Políticas IKE 3DES: Ejemplo:
•
Creación de una Política IKE AES: Ejemplo:
Creación de Políticas IKE 3DES: Ejemplo:
Este ejemplo crea dos políticas IKE, con la directiva 15 como la prioridad más alta, la directiva 20 como la prioridad siguiente, y
la prioridad predeterminada existente como la prioridad más baja. También crea una llave precompartida que se utilizará con la
política 20 con el peer remoto cuya dirección IP sea 192.168.224.33.
crypto isakmp policy 15
encryption 3des
hash md5
authentication rsa-sig
group 2
lifetime 5000
!
crypto isakmp policy 20
authentication pre-share
lifetime 10000
!
crypto isakmp key 1234567890 address 192.168.224.33
En el ejemplo, el cifrado DES de la directiva 15 no aparecería en la configuración escrita porque éste es el valor predeterminado
para el parámetro del algoritmo de encripción.
Si show crypto isakmp policy el comando se publica con esta configuración, la salida es como sigue:
Protection suite priority 15
encryption algorithm:3DES - Triple Data Encryption Standard (168 bit keys)
hash algorithm:Message Digest 5
authentication method:Rivest-Shamir-Adleman Signature
Diffie-Hellman group:#2 (1024 bit)
lifetime:5000 seconds, no volume limit
Protection suite priority 20
encryption algorithm:DES - Data Encryption Standard (56 bit keys)
hash algorithm:Secure Hash Standard
authentication method:preshared Key
Diffie-Hellman group:#1 (768 bit)
lifetime:10000 seconds, no volume limit
Default protection suite
encryption algorithm:DES - Data Encryption Standard (56 bit keys)
hash algorithm:Secure Hash Standard
authentication method:Rivest-Shamir-Adleman Signature
Diffie-Hellman group:#1 (768 bit)
lifetime:86400 seconds, no volume limit
Observe que aunque la salida no muestre “ningún límite del volumen” para los cursos de la vida, usted puede configurar
solamente un Time Lifetime (tal como 86.400 segundos); los cursos de la vida del volumen-límite no son configurables.
Creación de una Política IKE AES: Ejemplo:
El siguiente ejemplo es salida de muestra show running-config del comando. En este ejemplo, se habilita la clave del 256-bit
AES.
Current configuration : 1665 bytes
!
version 12.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname "Router1"
!
!
ip subnet-zero
!
!
no ip domain lookup
!
ip audit notify log
ip audit po max-events 100
!
crypto isakmp policy 10
encryption aes 256
authentication pre-share
lifetime 180
crypto isakmp key cisco123 address 10.0.110.1
!
!
crypto ipsec transform-set aesset esp-aes 256 esp-sha-hmac
mode transport
!
crypto map aesmap 10 ipsec-isakmp
set peer 10.0.110.1
set transform-set aesset
match address 120
!
.
.
.
Configuración de la Autenticación IKE: Ejemplo:
Las demostraciones del siguiente ejemplo cómo especificar manualmente los claves públicas RSA del peer IPSec dos — el par
en las claves de fines generales de las aplicaciones de 10.5.5.1, y el otro par utiliza las claves del especial-uso:
crypto key pubkey-chain rsa
named-key otherpeer.example.com
address 10.5.5.1
key-string
005C300D 06092A86 4886F70D 01010105
00034B00 30480241 00C5E23B 55D6AB22
04AEF1BA A54028A6 9ACC01C5 129D99E4
64CAB820 847EDAD9 DF0B4E4C 73A05DD2
BD62A8A9 FA603DD2 E2A8A6F8 98F76E28
D58AD221 B583D7A4 71020301 0001
quit
exit
addressed-key 10.1.1.2 encryption
key-string
00302017 4A7D385B 1234EF29 335FC973
2DD50A37 C4F4B0FD 9DADE748 429618D5
18242BA3 2EDFBDD3 4296142A DDF7D3D8
08407685 2F2190A0 0B43F1BD 9A8A26DB
07953829 791FCDE9 A98420F0 6A82045B
90288A26 DBC64468 7789F76E EE21
quit
exit
addressed-key 10.1.1.2 signature
key-string
0738BC7A 2BC3E9F0 679B00FE 53987BCC
01030201 42DD06AF E228D24C 458AD228
58BB5DDD F4836401 2A2D7163 219F882E
64CE69D4 B583748A 241BED0F 6E7F2F16
0DE0986E DF02031F 4B0B0912 F68200C4
C625C389 0BFF3321 A2598935 C1B1
quit
exit
exit
Adonde ir después
Después de que usted haya configurado con éxito la negociación IKE, usted puede comenzar a configurar el IPSec. Para la
información sobre completar estas tareas, vea el módulo “Configurar directivo de seguridad para los VPN con el IPSec.”
Referencias adicionales
Documentos Relacionados
Tema relacionado
Título del documento
Configuración IPSec
Configurar directivo de seguridad para
los VPN con el IPSec
Versión 2 IKE
Configurando el intercambio de claves
de Internet versión 2 (IKEv2)
Configurar las claves RSA para obtener los Certificados de Implementación de Llaves RSA Dentro
CA
de un PKI
IKE, IPSec, y comandos configuration PKI: sintaxis, modo
de comando, valores por defecto, Pautas para el uso, y
ejemplos del comando complete
Referencia de Comandos de Seguridad
de Cisco IOS
La habitación-B ESP transforma
Configurar directivo de seguridad para
los VPN con el módulo de función del
IPSec.
El tipo del algoritmo de la integridad de la habitación-B
transforma la configuración.
Configurar el módulo de función del
intercambio de claves de Internet versión
2 (IKEv2).
Soporte elíptico de Diffie Hellman de la curva de la
habitación-B (ECDH) para la negociación IPSec SA
Configurar los módulos de función del
intercambio de claves de Internet versión
2 (IKEv2).
Soporte de la habitación-B para la inscripción del
certificado para un PKI.
Configurar la inscripción del certificado
para un módulo de función PKI.
Estándares
Estándares
Título
Ninguno
—
MIB
MIB
Link del MIB
Ninguno Para localizar y descargar el MIB para las plataformas elegidas, las versiones de Cisco IOS
Software, y los conjuntos de características, utilizan el localizador MIB de Cisco encontrado
en el URL siguiente:
http://www.cisco.com/cisco/web/LA/support/index.html
RFC
RFC
Título
RFC 2408
Internet Security Association and Key Management Protocol (ISAKMP)
RFC 2409
El Internet Key Exchange (IKE)
RFC 2412
El Protocolo de determinación de claves OAKLEY
Asistencia Técnica
Descripción
Link
El Web site del soporte y de la documentación http://www.cisco.com/cisco/web/LA/support/index.html
de Cisco proporciona los recursos en línea
para descargar la documentación, el software,
y las herramientas. Utilice estos recursos para
instalar y para configurar el software y para
resolver problemas y para resolver los
problemas técnicos con los Productos Cisco y
las Tecnologías. El acceso a la mayoría de las
herramientas en el Web site del soporte y de
la documentación de Cisco requiere una
identificación del usuario y una contraseña del
cisco.com.
Información de la característica para configurar el IKE para el IPSec VPN
La Tabla 1 muestra el historial de versiones de esta función.
Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del
software. El Cisco Feature Navigator le permite para determinar qué imágenes del software soportan una versión de software,
un conjunto de características, o una plataforma específico. Para acceder a Cisco Feature Navigator, vaya a
http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.
Observelas listas del cuadro 1 solamente la versión de software que introdujo el soporte para una característica dada en un
tren de versión de software dado. A menos que se indicare en forma diferente, las versiones posteriores de ese tren de versión
de software también soportan esa característica.
Nombre de la
función
Capacidad de
inhabilitar la
autenticación
ampliada para los
peeres IPSecs
estáticos
Versiones Información sobre la Función
12.2(4)T
Esta característica permite que un usuario inhabilite el Xauth
mientras que configura la clave del preshared para el IPSEC de
router a router. Así, el router no indicará al par para un nombre de
usuario y contraseña, se transmiten que cuando el Xauth ocurre
para el IPSec VPN-cliente-a-Cisco-IOS.
La sección siguiente proporciona la información sobre esta
característica:
•
Configuración de Llaves Previamente Compartidas
Esta función ha modificado los siguientes comandos: crypto
isakmp key.
Advanced
12.2(8)T
Encryption Standard
(AES)
Esta característica agrega el soporte para la nueva norma de
encripción AES, que es una aislamiento transforma para el IPSec
y el IKE y se ha desarrollado para substituir el DES.
Las secciones siguientes proporcionan información acerca de esta
función:
•
Estándares Soportados para su Uso con IKE
•
Restricciones
Los siguientes comandos fueron modificados por esta función:
crypto ipsec transform-set, encryption (Política IKE) show
crypto ipsec transform-setshow crypto isakmp policy.
Cifrado del SELLO
12.3(7)T
Esta característica agrega el soporte para el cifrado del SELLO en
el IPSec.
La sección siguiente proporciona la información sobre esta
característica:
•
Estándares Soportados para su Uso con IKE
Esta función ha modificado los siguientes comandos: crypto ipsec
transform-set.
Soporte de la
15.1(2)T
habitación-B en IOS
SW crypto
La habitación-B agrega el soporte en el Cisco IOS para el
algoritmo de troceo de la familia SHA-2 (variante HMAC) usado
para autenticar los datos del paquete y para verificar los
mecanismos de verificación de la integridad para el IKE Protocol.
HMAC es una variante que proporciona un nivel adicional de
hashing. Esta característica también agrega el soporte elíptico de
Diffie Hellman de la curva (ECDH) para la negociación IPSec SA.
Vea Configurar directivo de seguridad para los VPN con el módulo
de función del IPSec para información más detallada sobre el
soporte de la habitación-B del Cisco IOS.
Las secciones siguientes proporcionan información acerca de esta
función:
•
Estándares Soportados para su Uso con IKE
• Pares IKE que convienen en una política IKE que
corresponde con
• Configurar una correspondencia de criptografía IKE para la
negociación IPSec SA
Esta función ha modificado los siguientes comandos:
authentication crypto key generate ec keysize crypto map
group hash set pfs.
Cisco and the Cisco Logo are trademarks of Cisco Systems, Inc. and/or its affiliates in the U.S. and other countries. A listing of Cisco's trademarks
can be found at www.cisco.com/go/trademarks. Third party trademarks mentioned are the property of their respective owners. The use of the word
partner does not imply a partnership relationship between Cisco and any other company. (1005R)
Any Internet Protocol (IP) addresses used in this document are not intended to be actual addresses. Any examples, command display output, and
figures included in the document are shown for illustrative purposes only. Any use of actual IP addresses in illustrative content is unintentional and
coincidental.
© 2005-2010 Cisco Systems, Inc. All rights reserved.
© 1992-2013 Cisco Systems Inc. Todos los Derechos Reservados.
Fecha de Generación del PDF: 2 Agosto 2013
http://www.cisco.com/cisco/web/support/LA/107/1074/1074053_sec_key_exch_ipsec_ps6922_TSD_Products_Configuration_Guide_Chapter.html
Descargar